Requisitos de firewall para o Azure Stack HCI
Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2
Este artigo fornece orientação sobre como configurar firewalls para o sistema operacional Azure Stack HCI. Inclui requisitos de firewall para pontos de extremidade de saída e regras e portas internas. O artigo também fornece informações sobre como usar marcas de serviço do Azure com o firewall do Microsoft Defender.
Este artigo também descreve como usar opcionalmente uma configuração de firewall altamente bloqueada para bloquear todo o tráfego para todos os destinos, exceto aqueles incluídos na sua lista de permissões.
Se sua rede usa um servidor proxy para acesso à Internet, consulte Definir configurações de proxy para o Azure Stack HCI.
Importante
O Azure Express Route e o Azure Private Link não têm suporte para o Azure Stack HCI, versão 23H2 ou qualquer um de seus componentes, pois não é possível acessar os pontos de extremidade públicos necessários para o Azure Stack HCI, versão 23H2.
Requisitos de firewall para pontos de extremidade de saída
Abrir a porta 443 para tráfego de rede de saída no firewall da sua organização atende aos requisitos de conectividade para que o sistema operacional Azure Stack HCI se conecte ao Azure e ao Microsoft Update. Se o firewall de saída for restrito, recomendamos incluir as URLs e portas descritas na seção URLs de firewall recomendadas deste artigo.
O Azure Stack HCI precisa se conectar periodicamente ao Azure. O acesso é limitado apenas a:
- IPs do Azure bem conhecidos
- Direção de saída
- Porta 443 (HTTPS)
Importante
O Azure Stack HCI não oferece suporte à inspeção HTTPS. Certifique-se de que a inspeção HTTPS está desabilitada ao longo do caminho de rede para o Azure Stack HCI para evitar erros de conectividade.
Conforme mostrado no diagrama a seguir, o Azure Stack HCI pode acessar o Azure usando mais de um firewall potencialmente.
URLs de firewall necessárias
A partir do Azure Stack HCI, versão 23H2, todos os clusters habilitam automaticamente a Ponte de Recursos do Azure e a infraestrutura AKS e usam o agente Arc for Servers para se conectar ao plano de controle do Azure. Juntamente com a lista de pontos de extremidade específicos de HCI na tabela a seguir, os pontos de extremidade HCI do Azure Resource Bridge no Azure Stack, os pontos de extremidade HCI AKS no Azure Stack e os pontos de extremidade de servidores habilitados para Azure Arc devem ser incluídos na lista de permissões do seu firewall.
Para obter uma lista consolidada de pontos de extremidade ao implantar no Leste dos EUA, use esta lista:
Para obter uma lista consolidada de pontos de extremidade ao implantar na Europa Ocidental, use esta lista:
Para obter uma lista consolidada de pontos de extremidade ao implantar no Leste da Austrália, use esta lista:
A tabela a seguir fornece uma lista de URLs de firewall necessárias. Certifique-se de incluir esses URLs na sua lista de permissões.
Nota
As regras de firewall HCI do Azure Stack nesta tabela são os pontos de extremidade mínimos necessários para a conectividade do serviço do sistema HciSvc e não contêm curingas. No entanto, a tabela a seguir atualmente contém URLs curinga, que podem ser atualizadas em pontos de extremidade precisos no futuro.
| Serviço | URL | Porta | Notas |
|---|---|---|---|
| Download do Azure Stack HCI Updates | fe3.delivery.mp.microsoft.com | 443 | Para atualizar o Azure Stack HCI, versão 23H2. |
| Download do Azure Stack HCI Updates | tlu.dl.delivery.mp.microsoft.com | 80 | Para atualizar o Azure Stack HCI, versão 23H2. |
| Descoberta de atualizações HCI do Azure Stack | aka.ms | 443 | Para resolver endereços para descobrir o Azure Stack HCI, versão 23H2 e Atualizações de Extensão do Construtor de Soluções. |
| Descoberta de atualizações HCI do Azure Stack | redirectiontool.trafficmanager.net | 443 | Serviço subjacente que implementa o rastreamento de dados de uso para os links de redirecionamento de aka.ms. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Para Autoridade do Ative Directory e usado para autenticação, busca de token e validação. |
| Azure Stack HCI | graph.windows.net | 443 | Para Graph e usado para autenticação, busca de token e validação. |
| Azure Stack HCI | management.azure.com | 443 | Para o Resource Manager e usado durante a inicialização inicial do cluster para o Azure para fins de registro e para cancelar o registro do cluster. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Para o plano de dados que envia por push dados de diagnóstico e usado no pipeline do portal do Azure e envia por push dados de cobrança. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Para o plano de dados usado no licenciamento e no envio de dados de alerta e faturamento. Necessário apenas para o Azure Stack HCI, versão 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | URL anterior para o plano de dados. Este URL foi alterado recentemente. Se você registrou seu cluster usando essa URL antiga, também deverá perstrá-la. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Para o registro de contêiner do Arc VM no Azure Stack HCI. Necessário apenas para o Azure Stack HCI, versão 23H2. |
| Azure Key Vault | *.vault.azure.net/* | 443 | Acesso ao cofre de chaves para acessar segredos de implantação do Azure Stack HCI. Substitua o primeiro * pelo nome do cofre de chaves que você planeja usar e o 2º * pelos nomes secretos. Necessário apenas para o Azure Stack HCI, versão 23H2. |
| Arc para servidores | aka.ms | 443 | Para resolver o script de download durante a instalação. |
| Arc para servidores | download.microsoft.com | 443 | Para baixar o pacote de instalação do Windows. |
| Arc para servidores | login.windows.net | 443 | Para Microsoft Entra ID |
| Arc para servidores | login.microsoftonline.com | 443 | Para Microsoft Entra ID |
| Arc para servidores | pas.windows.net | 443 | Para Microsoft Entra ID |
| Arc para servidores | management.azure.com | 443 | Para o Azure Resource Manager criar ou excluir o recurso Arc Server |
| Arc para servidores | guestnotificationservice.azure.com | 443 | Para o serviço de notificação para cenários de extensão e conectividade |
| Arc para servidores | *.his.arc.azure.com | 443 | Para metadados e serviços de identidade híbrida |
| Arc para servidores | *.guestconfiguration.azure.com | 443 | Para serviços de gerenciamento de extensões e configuração de convidados |
| Arc para servidores | *.guestnotificationservice.azure.com | 443 | Para serviço de notificação para cenários de extensão e conectividade |
| Arc para servidores | azgn*.servicebus.windows.net | 443 | Para serviço de notificação para cenários de extensão e conectividade |
| Arc para servidores | *.servicebus.windows.net | 443 | Para cenários do Windows Admin Center e SSH |
| Arc para servidores | *.waconazure.com | 443 | Para conectividade do Windows Admin Center |
| Arc para servidores | *.blob.core.windows.net | 443 | Para fonte de download para extensões de servidores habilitadas para Azure Arc |
Para obter uma lista abrangente de todos os URLs de firewall, baixe a planilha de URLs de firewall.
URLs de firewall recomendados
A tabela a seguir fornece uma lista de URLs de firewall recomendadas. Se o firewall de saída for restrito, recomendamos incluir as URLs e portas descritas nesta seção na sua lista de permissões.
Nota
As regras de firewall HCI do Azure Stack são os pontos de extremidade mínimos necessários para a conectividade do serviço do sistema HciSvc e não contêm curingas. No entanto, a tabela a seguir atualmente contém URLs curinga, que podem ser atualizadas em pontos de extremidade precisos no futuro.
| Serviço | URL | Porta | Notas |
|---|---|---|---|
| Benefícios do Azure no Azure Stack HCI | crl3.digicert.com | 80 | Permite que o serviço de atestado de plataforma no Azure Stack HCI execute uma verificação de lista de revogação de certificados para fornecer garantia de que as VMs estão realmente em execução em ambientes do Azure. |
| Benefícios do Azure no Azure Stack HCI | crl4.digicert.com | 80 | Permite que o serviço de atestado de plataforma no Azure Stack HCI execute uma verificação de lista de revogação de certificados para fornecer garantia de que as VMs estão realmente em execução em ambientes do Azure. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Para obter o módulo Az.StackHCI PowerShell, que é necessário para o registro de cluster. Como alternativa, você pode baixar e instalar o módulo Az.StackHCI PowerShell manualmente da Galeria do PowerShell. |
| Testemunha de nuvem de cluster | *.blob.core.windows.net | 443 | Para acesso de firewall ao contêiner de blob do Azure, se optar por usar uma testemunha de nuvem como testemunha de cluster, o que é opcional. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | download.windowsupdate.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | download.microsoft.com | 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | wustat.windows.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | go.microsoft.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.windowsupdate.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
Requisitos de firewall para serviços adicionais do Azure
Dependendo dos serviços adicionais do Azure habilitados para o Azure Stack HCI, talvez seja necessário fazer alterações adicionais na configuração do firewall. Consulte os links a seguir para obter informações sobre os requisitos de firewall para cada serviço do Azure:
- Azure Monitor Agent
- Portal do Azure
- Azure Site Recovery
- Área de Trabalho Virtual do Azure
- Microsoft Defender
- Agente de Monitoramento da Microsoft (MMA) e Agente do Log Analytics
- Qualys
- Suporte remoto
- Centro de Administração do Windows
- Windows Admin Center no portal do Azure
Requisitos de firewall para regras e portas internas
Verifique se as portas de rede adequadas estão abertas entre todos os nós do servidor, tanto dentro de um site quanto entre sites para clusters estendidos (a funcionalidade de cluster estendido só está disponível no Azure Stack HCI, versão 22H2.). Você precisará de regras de firewall apropriadas para permitir o tráfego bidirecional ICMP, SMB (porta 445, mais porta 5445 para SMB Direct se estiver usando RDMA iWARP) e WS-MAN (porta 5985) entre todos os servidores no cluster.
Ao usar o assistente de Criação de Cluster no Windows Admin Center para criar o cluster, o assistente abre automaticamente as portas de firewall apropriadas em cada servidor no cluster para Clustering de Failover, Hyper-V e Réplica de Armazenamento. Se você estiver usando um firewall diferente em cada servidor, abra as portas conforme descrito nas seguintes seções:
Gerenciamento do sistema operacional HCI do Azure Stack
Certifique-se de que as seguintes regras de firewall estão configuradas em seu firewall local para gerenciamento do sistema operacional HCI do Azure Stack, incluindo licenciamento e cobrança.
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir tráfego de entrada/saída de e para o serviço HCI do Azure Stack em servidores de cluster | Permitir | Servidores de cluster | Servidores de cluster | TCP | 30301 |
Windows Admin Center
Verifique se as seguintes regras de firewall estão configuradas no firewall local do Windows Admin Center.
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Fornecer acesso ao Azure e ao Microsoft Update | Permitir | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Usar o Gerenciamento Remoto do Windows (WinRM) 2.0 para conexões HTTP executarem comandos em servidores Windows remotos |
Permitir | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Use o WinRM 2.0 para que conexões HTTPS sejam executadas comandos em servidores Windows remotos |
Permitir | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Nota
Durante a instalação do Windows Admin Center, se você selecionar a configuração Usar WinRM somente sobre HTTPS , a porta 5986 será necessária.
Clustering de Ativação Pós-falha
Verifique se as seguintes regras de firewall estão configuradas no firewall local para Clustering de Failover.
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir validação de Cluster de Failover | Permitir | Sistema de gestão | Servidores de cluster | TCP | 445 |
| Permitir alocação de porta dinâmica RPC | Permitir | Sistema de gestão | Servidores de cluster | TCP | Mínimo de 100 portas acima da porta 5000 |
| Permitir chamada de procedimento remoto (RPC) | Permitir | Sistema de gestão | Servidores de cluster | TCP | 135 |
| Permitir Administrador de Cluster | Permitir | Sistema de gestão | Servidores de cluster | UDP | 137 |
| Permitir Serviço de Cluster | Permitir | Sistema de gestão | Servidores de cluster | UDP | 3343 |
| Permitir Serviço de Cluster (Obrigatório durante uma operação de associação de servidor.) |
Permitir | Sistema de gestão | Servidores de cluster | TCP | 3343 |
| Permitir ICMPv4 e ICMPv6 para validação de Cluster de Failover |
Permitir | Sistema de gestão | Servidores de cluster | n/d | n/d |
Nota
O sistema de gerenciamento inclui qualquer computador a partir do qual você planeja administrar o cluster, usando ferramentas como o Windows Admin Center, o Windows PowerShell ou o System Center Virtual Machine Manager.
Hyper-V
Verifique se as seguintes regras de firewall estão configuradas no firewall local para Hyper-V.
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir comunicação de cluster | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 445 |
| Permitir Mapeador de Pontos de Extremidade RPC e WMI | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 135 |
| Permitir conectividade HTTP | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 80 |
| Permitir conectividade HTTPS | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 443 |
| Permitir migração ao vivo | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 6600 |
| Permitir Serviço de Gerenciamento de VM | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 2179 |
| Permitir alocação de porta dinâmica RPC | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | Mínimo de 100 portas acima da porta 5000 |
Nota
Abra um intervalo de portas acima da porta 5000 para permitir a alocação de portas dinâmicas RPC. Portas abaixo de 5000 podem já estar em uso por outros aplicativos e podem causar conflitos com aplicativos DCOM. A experiência anterior mostra que um mínimo de 100 portas devem ser abertas, porque vários serviços do sistema dependem dessas portas RPC para se comunicar entre si. Para obter mais informações, consulte Como configurar a alocação de porta dinâmica RPC para funcionar com firewalls.
Réplica de armazenamento (cluster estendido)
Verifique se as seguintes regras de firewall estão configuradas no firewall local para Réplica de Armazenamento (cluster estendido).
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir Bloco de Mensagens do Servidor Protocolo (SMB) |
Permitir | Servidores de cluster esticados | Servidores de cluster esticados | TCP | 445 |
| Permitir gerenciamento de serviços da Web (WS-MAN) |
Permitir | Servidores de cluster esticados | Servidores de cluster esticados | TCP | 5985 |
| Permitir ICMPv4 e ICMPv6 (se utilizar a seringa Test-SRTopologycmdlet do PowerShell) |
Permitir | Servidores de cluster esticados | Servidores de cluster esticados | n/d | n/d |
Atualizar o firewall do Microsoft Defender
Esta seção mostra como configurar o firewall do Microsoft Defender para permitir que endereços IP associados a uma marca de serviço se conectem ao sistema operacional. Uma marca de serviço representa um grupo de endereços IP de um determinado serviço do Azure. A Microsoft gere os endereços IP incluídos na etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços IP são alterados para manter as atualizações ao mínimo. Para saber mais, consulte Tags de serviço de rede virtual.
Transfira o ficheiro JSON do seguinte recurso para o computador de destino que executa o sistema operativo: Azure IP Ranges and Service Tags – Public Cloud.
Use o seguinte comando do PowerShell para abrir o arquivo JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonObtenha a lista de intervalos de endereços IP para uma determinada etiqueta de serviço, como a
AzureResourceManageretiqueta de serviço:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImporte a lista de endereços IP para o firewall corporativo externo, se estiver usando uma lista de permissões com ele.
Crie uma regra de firewall para cada servidor no cluster para permitir o tráfego de saída 443 (HTTPS) para a lista de intervalos de endereços IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Próximos passos
Para obter mais informações, consulte também:
- A seção Firewall do Windows e portas do WinRM 2.0 de Instalação e configuração do Gerenciamento Remoto do Windows
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários